Facebook sla onveilige authenticatietokens op in iPhone-back-ups

Andy Coles

Door Andy Coles

Gepubliceerd

bijgewerkt

Zie hoe ik gekwalificeerd ben om dit artikel te schrijven

In de afgelopen maand of zo stonden een handvol iOS-apps in de schijnwerpers met betrekking tot beveiligingszwakheden en iPhone-tracking . Nu is het de beurt aan Facebook, hoewel het probleem in kwestie van toepassing is op veel andere sociale netwerksites zoals LinkedIn, Dropbox en apps die deze sites gebruiken om gebruikers op iOS te verifiëren.

Beveiligingsonderzoeker Gareth Wright ontdekte dat de iOS-app van Facebook verificatietokens bewaart in een gewoon tekstbestand. Deze tokens zijn gelijk aan het wachtwoord dat u gebruikt om in te loggen.

Het opslaan van verificatietokens in een back-up is niet noodzakelijkerwijs een slecht idee. Immers, als je je telefoon moet herstellen vanaf een back-up, is het leuk om te zien hoe alles is ingelogd en het token is nodig om dit te doen. U kunt zien hoe dit werkt met de huidige implementatie van Facebook:

  • Meld u aan bij de Facebook-app op uw iPhone en maak een back-up met iTunes
  • Meld u af bij de Facebook-app op uw iPhone (ga naar het linkerondermenu en klik op SettingsLog Out
  • Herstel de iTunes-back-up op je telefoon

U ziet dat u bent ingelogd. Netjes.

De weg naar de hel is geplaveid met goede bedoelingen

Of Facebook zijn authenticatietoken in de back-up opslaat, is niet het belangrijkste probleem. Het grootste probleem hier is dat het token niet is gecodeerd , geen apparaatspecifiek element heeft en niet tijdsgebonden is . Dat betekent dat iemand het bestand van uw back-up kan halen en het op zijn eigen apparaat kan importeren. In eenvoudige bewoordingen kan iedereen die toegang heeft tot dit bestand volledige toegang hebben tot uw Facebook-account en deze gebruiken om uw identiteit te stelen of uw activiteit bij te houden.

Daarnaast gebruiken veel apps en services van derden Facebook als een authenticatieservice. Als een hacker al is ingelogd op uw Facebook-account, kunnen deze deze services ook gebruiken.

Facebook heeft op nieuwsagentschappen geantwoord met de volgende opmerking, hoewel ze lijken de kans op onveilige back-up-hacking weg te laten, waarvan we denken dat dit de gemakkelijkste methode is.

De iOS- en Android-applicaties van Facebook zijn alleen bedoeld voor gebruik met het door de fabrikant geleverde besturingssysteem, en toegangstokens zijn alleen kwetsbaar als ze hun mobiele besturingssysteem (dwz iOS-geblokkeerde iOS of gemodificeerde Android) hebben aangepast of een kwaadwillende acteur toegang tot het fysieke apparaat hebben verleend. We ontwikkelen en testen onze applicatie op een ongewijzigde versie van mobiele besturingssystemen en vertrouwen op de native beveiligingen als een fundament voor ontwikkeling, implementatie en beveiliging, wat allemaal wordt aangetast door een gejailbreakt apparaat. Apple verklaart dat "onbevoegde wijziging van iOS hackers in staat zou kunnen stellen persoonlijke informatie te stelen ... of malware of virussen te introduceren." Om zichzelf te beschermen, raden we alle gebruikers aan hun mobiele besturingssysteem te wijzigen om instabiliteit van programma's of beveiligingsproblemen te voorkomen.

Moet je je zorgen maken? Om dit bestand te krijgen, moet de persoon fysieke toegang hebben tot uw iOS-apparaat of een pc met een niet-versleutelde opgeslagen back-up. Een informele hacker heeft daar mogelijk geen toegang toe, maar een vastbesloten hacker kan dergelijke toegang mogelijk regelen.

Het is duidelijk dat app-uitgevers zoals Facebook zichzelf kunnen helpen met het volgende:

  • Pas extra encryptie toe op authenticatietokens in de back-up
  • Zorg ervoor dat de tokens een apparaatspecifiek element hebben, zodat ze niet op andere apparaten kunnen worden gebruikt
  • Stel de tokens in om in de nabije toekomst een vervaldatum te hebben
  • Gebruikers waarschuwen voor nieuwe aanmeldingen voor een service van herstelde tokens

Wilt u uw eigen Facebook-authenticatietoken onderzoeken?

iPhone Backup Extractor reading the Facebook auth token
iPhone Backup Extractor die het Facebookauth-token leest

U kunt dit doen met de iPhone Backup Extractor en toegang krijgen tot uw back-up in "Expert-modus". Je zult de gegevens niet kunnen lezen of gebruiken om je aan te melden bij Facebook, tenzij je weet wat je doet - en we hebben onthouden hoe je dit om veiligheidsredenen publiceert - maar het kost niet veel om zoek het uit.

Over de auteur

Andy Coles has been building and documenting iPhone Backup Extractor since it was first released. He's made a number of discoveries in the field of data recovery, most notably techniques for transferring data between iPhone backups.

Reincubate's CEO bij Buckingham Palace

Hierboven zijn de leden van Reincubate's team te zien die HM Queen Elizabeth Ⅱ bij Buckingham Palace ontmoeten, nadat ze de UK's hoogste zakelijke prijs hebben ontvangen voor ons werk met Apple-technologie. Lees ons standpunt over privacy, veiligheid en beveiliging .

We hebben meer dan 3.000.000 mensen geholpen met het herstellen van hun verloren iPhone-gegevens. Laat ons u ook helpen.

Download nu

of haal het voor MacOS

Gerelateerde inhoud

Kunnen we dit artikel verbeteren?

We horen graag van gebruikers: Stuur ons een e-mail, laat een reactie achter of stuur een tweet @reincubate?

© 2008 - 2019 Reincubate Ltd. Alle rechten voorbehouden. Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. Privacy en voorwaarden. Wij bevelen 2FA aan. Gebouwd met in Londen.

close

Voor persoonlijke gebruikers

Voor bedrijven en pro-gebruikers

Scroll naar beneden voor zakelijke en pro-plannen

basis-

$39.95

iTunes-ondersteuning

Werkt met Windows en Mac

Klantenondersteuning

Bekijk de iCloud-apparatenlijst

KOOP BASIS

Premie

$69.95

Ondersteuning voor iCloud en iTunes

Werkt met Windows en Mac

Klantenondersteuning

5 iCloud-apparaten

KOOP PREMIUM
Jonathan Zdziarski picture

This is iPhone Backup Extractor, think of it as a "personal forensics" utility. It's pretty awesome.

Jonathan Zdziarski

Forensisch en iOS-expert

Voor zakelijke en professionele gebruikers

Bedrijf

$299.95

25 iCloud-apparaten

Klantondersteuning met hoge prioriteit

Commerciële licentie

Alle voordelen van ons premium plan

KOOP ZAKEN
ricloud logo
Demo onze API's voor bedrijven

Noodzaak van iCloud-toegang, forensische tooling, bulkherstel van verwijderde SQLite-gegevens?

Meer informatie over onze API's op reincubate.com.